【正文】 g Flood 攻擊、 Land 攻擊、 WinNuke 攻擊等。 （ 2）非授權(quán)訪問嘗試：是攻擊者對被保護(hù)文件進(jìn)行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護(hù)訪問權(quán)限所做的嘗試。 （ 3）預(yù)探測攻擊：在連續(xù)的非授權(quán)訪問嘗試過程中，攻擊者為了 獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息，通常使用這種攻擊嘗試，典型示例包括 SATAN 掃描、端口掃描和 IP 半途掃描等。 （ 4）可疑活動：是通常定義的“標(biāo)準(zhǔn)”網(wǎng)絡(luò)通信范疇之外的活動，也可以指網(wǎng)絡(luò)上不希望有的活動，如 IP Unknown Protocol 和 Duplicate IP Address 事件等。 （ 5）協(xié)議解碼：協(xié)議解碼可用于以上任何一種非期望的方法中，網(wǎng)絡(luò)或安全管理員需要進(jìn)行解碼工作，并獲得 相應(yīng)的結(jié)果 ，解碼后的 協(xié)議信息可 能表明期望 的活動，如 FTU User 和Portmapper Proxy 等解碼方式。 （ 6）系統(tǒng)代理攻擊：這種攻擊通常是針對單個主機(jī)發(fā)起的，而并非整個網(wǎng)絡(luò)，通過 RealSecure系統(tǒng)代理可以對它們進(jìn)行監(jiān)視。 發(fā)現(xiàn)訓(xùn)練集中的攻擊類型 我們發(fā)現(xiàn)訓(xùn)練集中共有 22 種攻擊方式： back dos， buffer_overflow u2r， ftp_write r2l， guess_passwd r2l， imap r2l， ipsweep probe， land dos， loadmodule u2r， multihop r2l， neptune dos， nmap probe， perl u2r， phf r2l， pod dos， portsweep probe， rootkit u2r， satan probe， smurf dos， spy r2l， teardrop dos，warezclient r2l， warezmaster r2l。 land dos 基于登陸的拒絕服務(wù)攻擊。 Land 攻擊是一種拒絕服務(wù)攻擊。其攻擊特征是：用于 Land 攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的，因為當(dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從 而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。檢測技術(shù)這種攻擊的方法是判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。預(yù)防這種攻擊的方法是：適當(dāng)配置防火墻設(shè)備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數(shù)據(jù)包），并對這種攻擊進(jìn)行審計（記錄事件發(fā)生的時間，源主機(jī)和目標(biāo)主機(jī)的 MAC 地址和 IP 地址）。 teardrop dos 淚滴攻擊。 Teardrop 攻擊也是一種拒絕服務(wù)攻擊。其攻擊特征是： Teardrop 是基于UDP 的病態(tài)分片數(shù)據(jù)包的攻擊方法，其工作原理是向被攻擊者發(fā)送多個分片的 IP 包（ IP 分片數(shù)據(jù)包中包括該分片數(shù) 據(jù)包屬于哪個數(shù)據(jù)包以及在數(shù)據(jù)包中的位置等信息），某些操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時將會出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象。檢測技術(shù)這種攻擊的方法是對接收到的分片數(shù)據(jù)包進(jìn)行分析，計算數(shù)據(jù)包的片偏移量（ Offset）是否有誤。 預(yù)防這種攻擊的方法是：添加系統(tǒng)補丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對這種攻擊進(jìn)行審計。 smurf dos 是一種簡單但有效的拒絕服務(wù)攻擊技術(shù)，它利用了 ICMP（ Inter 控制信息協(xié)議）。ICMP 在 Inter 上用于錯誤處理和傳遞控制信息。它的功能之一是與主機(jī)聯(lián)系，通過 發(fā)送一個“回音請求”（ echo request）信息包看看主機(jī)是否“活著”。最普通的 ping 程序就使用了這個功能。 Smurf 是用一個偷來的帳號安裝到一個計算機(jī)上的，然后用一個偽造的源地址連續(xù) ping 一個或多個計算機(jī)網(wǎng)絡(luò)，這就導(dǎo)致所有計算機(jī)所響應(yīng)的那個計算機(jī)并不是實際發(fā)送這個信息包的那個計算機(jī)。這個偽造的源地址，實際上就是攻擊的目標(biāo)，它將被極大數(shù)量的響應(yīng)信息量所淹沒。對這個偽造信息包做出響應(yīng)的計算機(jī)網(wǎng)絡(luò)就成為攻擊的不知情的同謀。預(yù)防這種攻擊的方法是：為了防止黑客利用你的網(wǎng)絡(luò)攻擊他人，關(guān)閉外部路由器或防火墻的 廣播地址特性。為防止被攻擊，在防火墻上設(shè)置規(guī)則，丟棄掉 ICMP 包。 buffer_overflow u2r 緩 沖 區(qū)溢 出 攻擊 由 于在 很 多的 服 務(wù)程 序 中大 意 的程 序 員使 用 象strcpy(),strcat()類似的不進(jìn)行有效位檢查的函數(shù)，最終可能導(dǎo)致惡意用戶編寫一小段利用程序來進(jìn)一步打開安全豁口然后將該代碼綴在緩沖區(qū)有效載荷末尾，這樣當(dāng)發(fā)生緩沖區(qū)溢出時，返回指針指向惡意代碼，這樣系統(tǒng)的控制權(quán)就會被奪取。預(yù)防這種攻擊的方法是：利用 SafeLib、 tripwire 這樣的程序保護(hù)系統(tǒng)，或者瀏覽最新的安全公告不斷更新操作 系統(tǒng)。 portsweep probe 端口掃描探測器攻擊。通常使用一些軟件，向大范圍的主機(jī)連接一系列的 TCP 端口，掃描軟件報告它成功的建立了連接的主機(jī)所開的端口。預(yù)防這種攻擊的方法：許多防火墻能檢測技 術(shù)到是否被掃描，并自動阻斷掃描企圖。 ipsweep probe IP 地址掃描探測器攻擊。運用 ping 這樣的程序探測目標(biāo)地址，對此做出響應(yīng)的表示其存在。預(yù)防這種攻擊的方法：在防火墻上過濾掉 ICMP 應(yīng)答消息。 nmap probe 端口掃描探測器。 Nmap 是在 UNIX 環(huán)境下推薦的端口掃描儀。 Nmap 不止是端口掃描儀，也是安全工具箱中必不可少的工具。預(yù)防這種攻擊的方法：許多防火墻能檢測技術(shù)到是否被掃描，并自動阻斷掃描企圖。 其他主流的攻擊類型 由于研究的數(shù)據(jù)集有限。研究時間的局限，我們所看到的攻擊類型還是很有限的，還有幾種主流的攻擊類型，可以幫助我們即時預(yù)防，以增強入侵檢測技術(shù)系統(tǒng)的性能。 （ 1） Ping of Death 根據(jù) TCP/IP 的規(guī)范，一個包的長度最大為 65536 字節(jié)。盡管一個包的長度不能超過 65536 字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當(dāng)一個主機(jī)收 到了長度大于 65536 字節(jié)的包時，就是受到了 Ping of Death 攻擊，該攻擊會造成主機(jī)的宕機(jī)。由于在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統(tǒng)對 TCP/IP 棧的實現(xiàn)在 ICMP 包上都是規(guī)定 64KB，并且在對包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過 ICMP 上限的包也就是加載的尺寸超過 64K 上限時，就會出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致 TCP/IP堆棧崩潰，致使接受方當(dāng)機(jī)。 預(yù)防這種攻擊的方法：現(xiàn)在所有的標(biāo)準(zhǔn) TCP/IP 實現(xiàn)都已實現(xiàn)對付超大尺 寸的包，并且大多數(shù)防火墻能夠自動過濾這些攻擊，包括：從 windows98 之后 windows,NT(service pack 3 之后 )， linux、 Solaris、和 Mac OS 都具有抵抗一般 ping ofdeath 攻擊的能力。此外，對防火墻進(jìn)行配置，阻斷 ICMP 以及任何未知協(xié)議，都講防止此類攻擊。 （ 2） SYN flood 該攻擊以多個隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送 SYN 包，而在收到目的主機(jī)的 SYN ACK 后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊列，而且由于沒有收到 ACK 一直維護(hù)著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務(wù)。一些 TCP/IP 棧的實現(xiàn)只能等待從有限數(shù)量的計算機(jī)發(fā)來的 ACK 消息，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會對接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時。在一些創(chuàng)建連接不受限制的實現(xiàn)里， SYN 洪水具有類似的影響。預(yù)防這種攻擊的方法：在防火墻上過濾來自同一主機(jī)的后續(xù)連接。 未來的 SYN 洪水令人擔(dān)憂，由于釋放洪水的并不尋求響應(yīng)， 所以無法從一個簡單高容量的傳輸中鑒別出來。 （ 3） UDP 洪水（ UDP flood） 概覽：各種各樣的假冒攻擊利用簡單的 TCP/IP 服務(wù)，如 Chargen 和 Echo 來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機(jī)的 Chargen 服務(wù)之間的一次的 UDP 連接，回復(fù)地址指向開著Echo 服務(wù)的一臺主機(jī)，這樣就生成在兩臺主機(jī)之間的足夠多的無用數(shù)據(jù)流，如果足夠多的數(shù)據(jù)流就會導(dǎo)致帶寬的服務(wù)攻擊。 預(yù)防這種攻擊的方法：關(guān)掉不必要的 TCP/IP 服務(wù)，或者對防火墻進(jìn)行配置阻斷來自 Inter 的請求這些服務(wù)的 UDP 請求。 （ 4） CPU Hog 一種通過耗盡系統(tǒng)資源使運行 NT 的計算機(jī)癱瘓的拒絕服務(wù)攻擊，利用 Windows NT 排定當(dāng)前運行程序的方式所進(jìn)行的攻擊。 （ 5） Win Nuke 是以拒絕目的主機(jī)服務(wù)為目標(biāo)的網(wǎng)絡(luò)層次的攻擊。攻擊者向受害主機(jī)的端口 139，即 bios 發(fā)送大量的數(shù)據(jù)。因為這些數(shù)據(jù)并不是目的主機(jī)所需要的，所以會導(dǎo)致目的主機(jī)的死機(jī)。 （ 6） RPC Locator 攻擊者通過 tel 連接到受害者機(jī)器的端口 135 上，發(fā)送數(shù)據(jù)，導(dǎo)致 CPU 資源完全耗盡。依照程序設(shè)置和是否有其他程序運行，這種攻擊可以使受害計算機(jī)運行緩慢或者停止響應(yīng)。無論哪種情況，要使計 算機(jī)恢復(fù)正常運行速度必須重新啟動。 結(jié)論 本論文可以分為兩個部分，第一部分從入侵檢測技術(shù)的提出入手，描述了入侵檢測技術(shù)的研究史，然后詳細(xì)描述了檢測技術(shù)原理，列舉了功能概要，具體介紹了入侵檢測技術(shù)技術(shù)分析過程，最后指出入侵檢測技術(shù)發(fā)展方向。這一部分集中介紹入侵檢測技術(shù)，是我們對各種相關(guān)中外參考資料的學(xué)習(xí)總結(jié)。 第二部分是本課題的研究重點，分析了ＫＤＤ 99 的測試數(shù)據(jù) ,介紹了各種攻擊類型，最后一章在撰寫這一章前，我們認(rèn)真學(xué)習(xí)了模式識別這門課程，根據(jù)課題 要求對各種模式分類算法進(jìn)行了有側(cè)重點的學(xué)習(xí)，迭代最優(yōu)化算法是以付出一定時間代價為前提，降低了 Kmeans 算法的空間代價，使得迭代最優(yōu)化算法可以局部時間效率最優(yōu)，但是對于全局的時效優(yōu)化并非就是一種最優(yōu)解。但是鑒于各種具體場合，兩種算法在許多領(lǐng)域都有著廣泛的應(yīng)用。 在做畢業(yè)設(shè)計的過程中，在老師的指導(dǎo)下，同學(xué)之間共同學(xué)習(xí)，克服了一個個困難，這段時間的學(xué)習(xí)使我對入侵檢測技術(shù)和模式識別等課程產(chǎn)生了濃厚的興趣。在以后的日子里，我將對入侵檢測技術(shù)和模式識別算法繼續(xù)進(jìn)行更深入的學(xué)習(xí)，尋求更加優(yōu)化的算法，并嘗試去設(shè)計出某種 入侵檢測技術(shù)系統(tǒng)的模型，不斷地提高自己的專業(yè)水平。 致謝 論文撰寫結(jié)束了，在此期間我遇到了許多困難，同樣得到了老師和同學(xué)們的熱心幫助，使我得以按時完成我的任務(wù)，沒有辜負(fù)大家的一片苦心。 感謝三年來院系領(lǐng)導(dǎo)和廣大老師們對我們的諄諄教誨！ 參考文獻(xiàn) [1] 蔣建春，馮登國 .網(wǎng)絡(luò)入侵檢測技術(shù)原理與技術(shù) .北京：國防工業(yè)出版社， [2] 戴連英，連一峰，王航 .系統(tǒng)安全與入侵檢測技術(shù) .北京：清華大學(xué)出 [3] 沈清，湯霖 .模式識別導(dǎo)論 .國防科技大學(xué)出版社， [4] 吳焱等譯，入侵者檢測技術(shù) .北京 :電子工業(yè)出版社 ,1999 [5] [美 ]Richard ,Peter ,David 李宏東 姚天翔等 譯 模式分類（原書第 2 版） 機(jī)械工業(yè)出版社 ， 20210901 [6] Arbaugh W A， Fithen W L， McHugh J． Windows of vulnerability： A case study analysis［ J］． IEEEComput． 2021， 33（ 12） [7] Bace RG． Intrusion Detection［ M］． Technology Series． Macmillan， London， 2021． [8] Denning DE， Edwards DL， Jagannathan R， et al． A prototype IDES： A realtimeintrusion detection expert system［ C］． Technical report， Computer ScienceLaboratory［ D］． SRIInternational， Menlo Park，1987． [9] Todd Heberlein L， Gihan Dias V， KarlLevittN． et al． A Network security monitor［ M］． 1991．